2. Introducción
La seguridad, protección de los equipos conectados en red
y de los datos que almacenan y comparten, es un hecho muy
importante en la interconexión de equipos.
Cuanto más grande sea una empresa, más importante será
la necesidad de seguridad en la red.
Nuestro interés va más allá del hecho de los procedimientos
para compartir. En realidad se ve compartir recursos desde la
perspectiva de establecer y mantener la seguridad en la red y
en los datos.
La seguridad es bastante más que evitar accesos no
autorizados a los equipos y a sus datos. Incluye el mantenimiento
del entorno físico apropiado que permita un funcionamiento
correcto de la red.
3. Seguridad Informática
La necesidad de la seguridad informática
En la actualidad la información es el objeto de mayor
valor para las empresas.
El progreso de la informática y de las redes de
comunicación nos presenta un nuevo escenario, donde
los objetos del mundo real están representados por bits
y bytes, que ocupan lugar en otra dimensión y poseen
formas diferentes de las originales, no dejando de tener
el mismo valor que sus objetos reales, y, en muchos
casos, llegando a tener un valor superior.
4. Seguridad Informática
Por esto y otros motivos, la seguridad de la
información es un asunto tan importante para todos,
pues afecta directamente a los negocios de una
empresa o de un individuo.
La seguridad de la información tiene como
propósito proteger la información registrada,
independientemente del lugar en que se localice:
Impresos en papel, Discos duros de las computadoras o
incluso en la memoria de las personas que la conocen.
5. Seguridad Informática
Funciones y Responsabilidades de la Seguridad
Informática
… una de las preocupaciones de la seguridad de la
información es proteger los elementos que forman parte
de la comunicación.
Así, para empezar, es necesario identificar los
elementos que la seguridad de la información busca
proteger:
La información
Los equipos que la soportan
Las personas que la utilizan
6. Seguridad Informática
Responsabilidades en el manejo de la
información
En la actualidad, la seguridad informática ha adquirido
gran auge, dadas las cambiantes condiciones y las nuevas
plataformas de computación disponibles. La posibilidad de
interconectarse a través de redes, ha abierto nuevos
horizontes que permiten explorar más allá de las fronteras de
la organización. Esta situación ha llevado a la aparición de
nuevas amenazas en los sistemas computarizados.
7. Seguridad Informática
Consecuentemente, muchas organizaciones
gubernamentales y no gubernamentales internacionales han
desarrollado documentos y directrices que orientan en el uso
adecuado de estas destrezas tecnológicas y recomendaciones
con el objeto de obtener el mayor provecho de estas ventajas,
y evitar el uso indebido de la mismas.
Esto puede ocasionar serios problemas en los bienes y
servicios de las empresas en el mundo.
8. Seguridad Informática
Atributos y clasificación de la información
Proteger la información significa mantenerla
segura contra amenazas que puedan afectar su
funcionalidad:
Corrompiéndola,
Accediéndola indebidamente, o incluso
Eliminándola o hurtándola.
9. Seguridad Informática
En un reciente estudio de Datapro Research Corp. se
resumía que los problemas de seguridad en sistemas
basados en redes responde a la siguiente
distribución:
Errores de los empleados 50%
Empleados deshonestos 15%
Empleados descuidados 15%
Otros 20% (Intrusos ajenos a la Empresa 10%; Integridad
física de instalaciones 10% )
10. Seguridad Informática
Se puede notar que el 80% de los problemas, son generados
por los empleados de la organización, y, éstos se podrían
tipificar en tres grandes grupos:
Problemas por ignorancia
Problemas por haraganería
Problemas por malicia
Entre estas razones, la ignorancia es la más fácil de corregir.
Desarrollando tácticas de entrenamiento y procedimientos
formales e informales son fácilmente neutralizadas. Los usuarios,
además, necesitan de tiempo en tiempo, que se les recuerden cosas
que ellos deberían conocer.
11. Seguridad Informática
La forma de instrumentar la confidencialidad de la
información es a través del establecimiento del grado de
sigilo:
Grado de sigilo:
La información generada por las personas tiene un fin
específico y se destina a un individuo o grupo. Por lo tanto, la
información necesita una clasificación en lo que se refiere a su
confidencialidad. Es lo que denominamos grado de sigilo, que
es una graduación atribuida a cada tipo de información, con
base en el grupo de usuarios que poseen permisos de acceso.
12. Seguridad Informática
Dependiendo del tipo de información y del público para el
cual se desea colocar a disposición los grados de sigilo
podrán ser:
Confidencial
Secreto
Restrictivo
Sigiloso
Público
13. Seguridad Informática
Conceptos básicos de la seguridad informática
Confidencialidad
Integridad
Autenticidad
No Repudio
Disponibilidad de los recursos y de la información
Consistencia
Control de Acceso
Auditoria
14. Seguridad Informática
Confidencialidad
Consiste en proteger la información contra la lectura
no autorizada explícitamente.
Incluye no sólo la protección de la información en su
totalidad, sino también las piezas individuales que
pueden ser utilizadas para inferir otros elementos de
información confidencial.
15. Seguridad Informática
Que la información sea accesible solamente a las
entidades que tienen derecho a ella, tanto para
leerla, imprimirla, desplegarla o para cualquier otra
forma de divulgación de la misma.
Transformar la información de tal forma que solo sea
entendible o utilizable por aquellas entidades para
las que fue creada.
16. Seguridad Informática
Integridad
Es necesario proteger la información contra la
modificación sin el permiso del dueño.
La información a ser protegida incluye no sólo la
que está almacenada directamente en los sistemas
de cómputo sino que también se deben considerar
elementos menos obvios como respaldos,
documentación, registros de contabilidad del sistema,
tránsito en una red, etc. Esto comprende cualquier
tipo de modificaciones:
17. Seguridad Informática
Que la información no sea destruida y/o modificada,
mas que por los usuarios y mecanismos autorizados
para ello.
La información no debe modificarse o destruirse ni en
los sistemas de procesamiento ni al ser transmitida
por algún medio de comunicación.
18. Seguridad Informática
Esto comprende cualquier tipo de modificaciones:
Causadas por errores de hardware y/o software.
Causadas de forma intencional.
Causadas de forma accidental
Cuando se trabaja con una red, se debe comprobar
que los datos no fueron modificados durante su
transferencia.
19. Seguridad Informática
Autenticidad
La autenticidad garantiza que quien dice ser "X" es
realmente "X".
Es decir, se deben implementar mecanismos para verificar
quién está enviando la información.
Que el origen de la información sea correctamente
identificado, asegurando que la identidad no es falsa.
20. Seguridad Informática
Los usuarios deben de poder probar que realmente son
quien dicen ser….
Tipos de autenticación:
Por factores:
De un factor: Algo que yo se.
De dos factores: Algo que yo se y algo que yo tengo.
De tres factores: Algo que yo se, algo que yo tengo y algo que yo
soy *.
*Algo que yo hago
21. Seguridad Informática
No – repudio
Ni el origen ni el destino en un mensaje deben poder
negar la transmisión. Quien envía el mensaje puede
probar que, en efecto, el mensaje fue enviado y
viceversa.
22. Seguridad Informática
Que las parte involucradas en un proceso de
intercambio de información puedan probar la
participación de su contraparte de forma inequívoca,
así como puedan probar su propia participación en
dicho intercambio.
Tener los medios para probarle a alguien que hizo
algo dentro de un sistema o con cierta información.
23. Seguridad Informática
Disponibilidad de los recursos y de la información
De nada sirve la información si se encuentra intacta
en el sistema pero los usuarios no pueden acceder a ella.
Por tanto, se deben proteger los servicios de cómputo
de manera que no se degraden o dejen de estar
disponibles a los usuarios de forma no autorizada.
La disponibilidad también se entiende como la
capacidad de un sistema para recuperarse rápidamente
en caso de algún problema.
24. Seguridad Informática
Que se garantice la disponibilidad de los
recursos informáticos cuando se requieran y por
consecuencia de la información contenida en estos
recursos.
La información debe estar disponible siempre, de
acuerdo a las reglas establecidas de antemano para
su uso.
25. Seguridad Informática
Consistencia
Se trata de asegurar que el sistema siempre se
comporte de la forma esperada, de tal manera que
los usuarios no encuentren variantes inesperadas.
26. Seguridad Informática
Control de acceso a los recursos
Consiste en controlar quién utiliza el sistema o
cualquiera de los recursos que ofrece y cómo lo hace.
Tipos de control de acceso:
Discrecional (DAC): la validez del método de
autenticación esta a discreción del usuario.
Mandatorio (MAC): se validan aspectos sobre los
cuales el usuario no tiene control.
27. Seguridad Informática
Autorización
Que un usuario tenga acceso solamente a la
información que le corresponde una vez que tiene
acceso aun sistema o a una red de sistemas de
acuerdo a sus privilegios y restricciones.
28. Seguridad Informática
Auditoria
Consiste en contar con los mecanismos para poder
determinar qué es lo que sucede en el sistema, qué es
lo que hace cada uno de los usuarios y los tiempos y
fechas de dichas acciones.
En cuanto a los dos últimos puntos resulta de
extrema importancia, cuando se trata de los derechos
de los usuarios, diferenciar entre “espiar” y
“monitorear” a los mismos.
La ética es algo que todo buen administrador
debe conocer y poseer.
29. Seguridad Informática
Finalmente, todos estos servicios de seguridad deben ser
tomados en cuenta en el momento de elaborar las políticas
y procedimientos de una organización para evitar pasar
por alto cuestiones importantes como las que señalan
dichos servicios.
De esta manera, es posible sentar de forma concreta y
clara los derechos y límites de usuarios y administradores.
Sin embargo antes de realizar cualquier acción para
lograr garantizar estos servicios, es necesario asegurarnos
de que los usuarios conozcan sus derechos y obligaciones.
30. Seguridad en redes
Implantación de la seguridad en redes
La planificación de la seguridad es un elemento
importante en el diseño de una red.
Es mucho más sencillo implementar una red segura
a partir de un plan, que recuperar los datos
perdidos.
31. Introducción a la criptografía
Criptografía: Ciencia que se dedica a mantener las
comunicaciones seguras.
Criptoanálisis: ciencia y arte que analiza la forma de romper
los algoritmos criptográficos.
32. Introducción a la criptografía
Cifrado: transformación de datos en alguna forma que los
hace ilegibles si no se cuenta con la “llave”.
Criptología: Rama de las matemáticas que incluye a la
criptografía y al criptoanálisis.
33. Terminología
Texto claro: Datos, información legible.
Texto cifrado (Ciphertext): Datos que han sido
cifrados.
34. Terminología
Decripción: Proceso que convierte el texto cifrado en texto
claro.
Algoritmo criptográfico (Cipher): función matemática
utilizada para cifrar y descifrar información.
35. Cifrado Simétrico
La llave de cifrado y la de descifrado son iguales o
la llave de descifrado se puede derivar de la de
cifrado.
Conocidos como algoritmos de llave secreta o
privada.
El emisor y el receptor comparten la misma llave.
Ejemplos: DES, 3DES, RC2, RC5, IDEA, Skipjack.
36. El problema de la distribución de
llaves
¿Como asegurar que la llave es distribuida de
forma segura a todos los participantes en una
comunicación?.
Para n usuarios se requieren n(n-1)/2 llaves
diferentes.
Si se compromete la llave, toda la comunicación
está en peligro.
37. Cifrado asimétrico
La llave utilizada para cifrar el mensaje es diferente a la
utilizada para descifrarlo.
Conocidos como de llave pública.
Ambas llaves están matemáticamente relacionadas.
Su seguridad radica en la dificultad para obtener una llave a
partir de la otra.
Están basados en problemas matemáticos complejos:
Factorización de números grandes primos, Logaritmos discretos,
Curvas elípticas.
38. Algoritmos asimétricos y la
distribución de las llaves
Se genera un par de llaves.
Una se mantiene de forma privada.
La otra se hace del conocimiento de todos.
Alguien que quiera mandar un mensaje al dueño de
las llaves la cifra con la llave pública, y el dueño de
las llaves la descifra con la llave privada.
39. Autenticación con cifrado asimétrico
Si cifro con mi llave privada, cualquiera puede descifrar el mensaje con mi
llave pública y así pueden estar seguros de que fui yo quien mandó el
mensaje.
Este es el principio de las firmas digitales.
40. Tipos de Algoritmos de cifrado
40
Por el tipo de llave:
Simétricos. Se utiliza la misma llave para cifrar y
descifrar (llave privada)
Asimétricos. Se utilizan llaves diferentes para cifrar y
descifrar (llave pública)
42. Encripción Privada
42
Bases:
Utiliza la misma llave para cifrado y descifrado
Se basa en una llave secreta
Ventajas
Sencillo y Rápido
Desventajas
Se basa en un secreto
Ejemplos
DES, Lucifer, RC4
43. El nacimiento de DES
43
En 1972, el gobierno de EUA empezó un esfuerzo para
el desarrollo de un estándar de cifrado que tuviera las
siguientes características:
Alto nivel de seguridad
Completamente especificado y fácil de entender
La seguridad del algoritmo no debe de basarse en la confidencialidad
del algoritmo.
Debe estar disponible para cualquier usuario
Debe de poderse usar en diversas aplicaciones
Debe de ser barato
Debe de ser validable
Debe de ser exportable
44. DES
44
Digital Encryption Standard
Esfuerzo coordinado por NBS y NSA en EUA
National Bureau of Standards
National Security Agency
Basado en Lucifer desarrollado por IBM
Lucifer usaba llaves de 128 bits
Se creo DES con llaves de 56 bits
Se aprobó por el departamento de comercio de EUA en 1976 y se
público
Basado en operaciones manipulación de bits
45. DES y su evolución
45
Ha estado en uso por más de 20 años
Se puede romper pero toma tiempo
EUA solo permite la exportación de DES con llaves de 40
bits, las cuales se pueden romper facilmente
Ahora está en proceso la aprobación para exportación
de DES 56.
Tripple DES
Nace RC4, que es más eficiente
46. DES y su evolución
46
Conventional Encryption
48. Cifrado Pública
48
Bases:
Utiliza distintas llaves para cifrar y descifrar
Se basa en factorización de números primos muy grandes
Ventajas
Altamente seguro
Desventajas
Es más lento, la distribución de llaves no es trivial
Ejemplos
RSA, Diffie-Hellman
50. RSA
Inventado por Ron Rivest, Adi Shamir y Leonard
Adleman en 1977.
Basado en la factorización de números primos muy
grandes.
En Hardware RSA es 1000 veces más lento que
DES y en software 100 veces más lento.
Estándar de-facto para cifrado de llave pública.
La patente (E. U.) expira el 20 de Septiembre de
2000.
51. Algoritmo de RSA
51
Se escogen 2 números primos (p y q) muy grandes
n=pq
Se escoge una llave de cifrado de forma tal que e
y (p-1) (q-1) son relativamente primos
ed = 1 mod (p-1)(q-1)
d=e^-1 mod ((p-1)(q-1))
De esta forma e y n son la llave pública, d es la llave
privada, p y q solo se necesitan para la generación de
llaves
52. Llaves públicas
52
El problema: Creación y distribución de llave
¿Quién las crea?
¿Cómo sabes si la persona correcta las creo?
Si yo te envío mi llave pública a través de correo
electrónico, ¿estas seguro de que fui yo?
53. Creación y Distribución de llaves
53
Autoridad certificadora
Puntos de confianza
Verisign en EUA
¿y en México?
Banco de México
Bancos
Notarias
¿Quién?
54. Intercambio de llaves privadas
54
Llaves de sesión
Utilizamos Diffie-Hellman
Algoritmo de criptografía
Criptografía pública
Creado por Diffie y Hellman
1976
Sencillo
55. Diffie - Hellman
Usuario A
Selecciona un entero grande
x, y le manda a B esto:
X = g^x mod n
A calcula:
k = Y^x mod n
Usuario B
Selecciona un entero grande
y y lo manda a A esto:
Y = g^y mod n
B calcula:
k’ = X^y mod n
55
Ambas k y k’ son igual a g^(xy) mod n. Nadie en medio de la
comunicación puede calcular ese valor.
k es la llave secreta o de sesión que ambas partes usan
Ambos A y B, acuerdan en dos números primos grandes n y g.
Estos números son secretos.
57. Criptosistemas Híbridos
Los algoritmos asimétricos son lentos en comparación
con los simétricos.
Los algoritmos simétricos son vulnerables a ataques
de “texto claro elegido”.
Las implementaciones prácticas utilizan algoritmos de
llave publica para distribuir y proteger las llaves y
algoritmos de llave simétrica para asegurar (cifrar)
el tráfico de los mensajes.
58. Niveles de Ataque
Sólo texto cifrado
El atacante posee uno o más textos cifrados
Texto claro conocido
El atacante posee uno o más textos cifrados y sus textos claros
Texto claro elegido
El atacante puede elegir textos claros y conocer sus textos cifrados
Texto cifrado elegido
El atacante puede elegir textos cifrados y conocer sus textos claros
59. Algoritmos seguros de “Hash”
También conocidos como:
Digest de mensajes
Checksum criptográfico
Huella digital del mensaje
Checksum para integridad del mensaje.
Propiedades:
Es fácil generar un hash a partir de un mensaje.
Es difícil determinar el mensaje en base a un hash determinado.
Es difícil obtener el mismo hash de dos mensajes diferentes.
Algoritmos populares de hash: MD5, SHA.
60. Firmas Digitales
Generación:
Se procesa el mensaje con una función de Hash para
generar una digestión del mensaje.
Se cifra (firma) el mensaje con la llave pública.
Se envía el mensaje firmado (mensaje y firma
juntos).
Obtención del mensaje:
61. Firmas Digitales
El más popular: DSA (Digital Signature Algorithm.
Utiliza SHA (Secure Hash Algoritm), parte del estándar DSS
(Digital Signature Standar), llaves desde 512 hasta 1024 bits,
estándar federal 1994.
Problemas:
No sirve para distribución de llaves.
El NSA le pudo haber puesto un “trap door”.
Llaves demasiado pequeñas.
Más lento que RSA.
63. Implementación
Requerimiento Implementado mediante
Confidencialidad SSL y contraseña de acceso
Autentificación Contraseña de acceso
Integridad Permisos en la base de datos
No-repudiación Bitacoras de acceso
Control de Acceso Políticas de seguridad
Autorización Permisos en la base de datos
Disponibilidad SSL e implementación en Web
64. Implementación “Segura”
Requerimiento Implemención mediante
Confidencialidad SSL y contraseña de acceso
Autentificación Certificados digitales
Integridad Permisos en la base de datos.
No-repudiación Firma y certificado digital
Control de Acceso Certificados digitales y políticas de
seguridad
Autorización Permisos en la base de datos
Disponibilidad VPN y enlaces punto a punto
65. Ejemplo de Aplicación de Web normal
Internet
ISP
Bienvenido
WEB
SERVER
Servidor de Web
Seguro
FW
Información
66. Solicitud de certificación del servidor
Internet
ISP
WEB
SERVER
Solicitud de
certificación
Autoridad
Certificadora.
67. Solicitud de certificación del cliente
Internet
ISP
CLIENTE
Solicitud de
certificación
Autoridad
Certificadora.
68. Ejemplo de aplicación con llave pública
Internet
ISP
WEB
SERVER
FW
Información
¿Quien es?
Yo soy X
Bienvenido
X
Solicitud
servicio
Autoridad
Certificadora.
69. Aplicaciones de los esquemas de llave
pública.
SSL (Secure Socket Layer).
SET (Secure Electronic Transactions).
Se les conoce como Infraestructuras de Llave
Pública.
70. Componentes de una Infraestructura de
Llave Pública.
Autoridad Certificadora.
Autoridad Registradora.
Esquema de cifrado.
Certificados digitales.
Uno o dos pares de llaves (uno para cada
participante en la comunicación).
71. SISTEMA DE GESTION DE LA
SEGURIDAD DE LA
INFORMACION Y NORMA ISO
27001
Normas Técnicas:
BS 7799-2:2002 (Certificable).
ISO 17799:2005 (No Certificable).
ISO 27001:2005 (Certificable).
72.
73. ANTECEDENTES
¿ Qué es una Norma ?
Una norma es una especificación técnica
Elaborada con participación de todos los sectores involucrados
Aprobada por consenso
Su objetivo es el beneficio a la comunidad
Está a disposición de todos los interesados
Es elaborada y publicada por un organismo de normalización reconocido
74. ANTECEDENTES
Department of Trade & Industry
Ministerio de Comercio y de la
industria del Reino Unido.
Es el administrador del comercio, negocios, empleados, consumidores,
ciencia, energía en el Reino Unido y está trabajando para crear las
condiciones de éxito en los negocios del Reino Unido en el desafío de la
globalización.
www.dti.gov.uk
75. ANTECEDENTES
British Standard
Institution
Fundada en 1901 como el comité de estándares de la ingeniería. Los
estándares británicos del bsi son el cuerpo nacional de los estándares del reino
unido, con una reputación global reconocida para la independencia, la
integridad y la innovación en la producción de los estándares que promueven la
mejor práctica. Desarrolla y vende estándares y soluciones de la
estandardización para resolver las necesidades del negocio y de la sociedad.
• Certifica sistemas y productos de gerencia
• Proporciona servicios de la comprobación del producto
• Desarrolla estándares privados, nacionales e internacionales
• Proporciona el entrenamiento en estándares
• Proporciona soluciones de software
www.bsi-global.com
76. ANTECEDENTES
Organización
Internacional para la
Estandarización
Organización internacional no gubernamental, compuesta por representantes de
los organismos de normalización (ONs) nacionales, que produce normas
internacionales industriales y comerciales (normas ISO ). Su finalidad es la
coordinación de las normas nacionales, en consonancia con el Acta Final de la
Organización Mundial del Comercio, con el propósito de facilitar el comercio, el
intercambio de información y contribuir con unos estándares comunes para el
desarrollo y transferencia de tecnologías.
77. ¿Qué es ISO 27000?
Es una familia de estándares internacionales para
Sistemas de Gestión de la Seguridad de la
Información (SGSI).
Requisitos para la especificación de sistemas de gestión de
la seguridad de la información
Proceso del análisis y gestión del riesgo
Métricas y medidas de protección
Guías de implantación
Vocabulario claramente definido para evitar distintas
interpretaciones de conceptos técnicos y de gestión y
mejora continua.
78. La Familia Norma ISO 27000 (1)
ISO 27000
En fase de desarrollo. Contendrá términos y definiciones que se emplean en toda la serie
27000. La aplicación de cualquier estándar necesita de un vocabulario claramente
definido, que evite distintas interpretaciones de conceptos técnicos y de gestión.
ISO 27001
Es la norma principal de requerimientos del sistema de gestión de seguridad de la
información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual
serán certificados por auditores externos los SGSI de las organizaciones. Fue publicada el
15 de Octubre de 2005 y sustituye a la BS 7799-2, habiéndose establecido unas
condiciones de transición para aquellas empresas certificadas en esta última.
ISO 27002 (ISO 17799)
Es una guía de buenas prácticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información. No es certificable. Será la
sustituta de la ISO17799:2005.
79. La Familia ISO 27000 (2)
ISO 27003
Contendrá una guía de implementación de SGSI e información acerca del uso del modelo
PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la
norma BS7799-2.
ISO 27004
Especificará las métricas y las técnicas de medida aplicables para determinar la
eficiencia y efectividad de la implantación de un SGSI y de los controles relacionados.
Estas métricas se usan fundamentalmente para la medición de los componentes de la fase
“Do” (Implementar y Utilizar) del ciclo PDCA.
ISO 27005
Consistirá en una guía para la gestión del riesgo de la seguridad de la información y
servirá, por tanto, de apoyo a la ISO27001 y a la implantación de un SGSI. Se basará
en la BS7799-3 (publicada en Marzo de 2006) y, probablemente, en ISO 13335.
ISO 27006
Especificará el proceso de acreditación de entidades de certificación y el registro de
SGSIs.
81. Sistema de Gestión de la Seguridad de la
Información
Norma ISO/IEC 27001
Es la norma que define los requisitos para establecer, implementar, operar, hacer
seguimiento, revisar, mantener y mejorar un Sistema de Gestión de la Seguridad de
la Información (SGSI) documentado dentro del contexto de los riesgos del negocio.
S
G
S
I
82. Norma ISO/IEC 27001
Esta norma la pueden usar para:
Evaluar la capacidad de una organización (requisitos).
Aplicación de un sistema de procesos dentro de la organización.
Comprender los requisitos de la seguridad de la información.
Implementar y operar controles en la gestión del riesgo.
Administración del SGSI.
Mejora continua basada en la medición de objetivos.
Esta norma puede ser aplicada a todas las organizaciones, independientemente de su
tipo, tamaño y naturaleza.
83. Norma ISO/IEC 27001
¿Qué es un SGSI?
ISMS - Information Security Management System.
Un sistema de gestión de la seguridad de la información (SGSI) es una forma
sistemática de abordar la gestión de la información empresarial para protegerla.
Atañe a las personas, los procesos y los sistemas informáticos.
Es un proceso documentado y conocido por toda la organización para garantizar
que la seguridad de la información es gestionada correctamente. (ISO 9001).
La seguridad de la información consiste en preservar:
Confidencialidad: acceso únicamente por autorizados.
Integridad: exactitud y completitud.
Disponibilidad: acceso de los usuarios autorizados cuando lo requieran.
Los sistemas implicados en el tratamiento de la información.
Información: escrita, diagramas, electrónica, imágenes o incluso oral.
84. ¿Para qué sirve un SGSI?
Conoce los riesgos a los que está sometida su información y los asume, minimiza,
transfiere o controla mediante un sistema definido, documentado y conocido por
todos, que se revisa y actualiza constantemente.
85. ¿Para qué sirve un SGSI?
Captura de PC desde el exterior
Violación de e-mails
Violación de contraseñas
Interrupción de los servicios
Intercepción y modificación de e-mails
Virus
Fraudes informáticos
Incumplimiento de leyes y regulaciones
Robo o extravío de notebooks
empleados deshonestos
Robo de información
Destrucción de soportes documentales
Acceso clandestino a redes
Intercepción de comunicaciones
Destrucción de equipamiento
Programas “bomba”
Acceso indebido a documentos impresos
Software ilegal
Agujeros de seguridad de redes conectadas
Falsificación de información para
terceros
Indisponibilidad de información clave
Spamming
Violación de la privacidad de los empleados
Ingeniería social
Principales riesgos
Propiedad de la Información
Mails “anónimos” con información crítica o con agresiones
86. CONTENIDO DE LA NORMA
1. Objeto
2. Referencias Normativas
3. Términos y Definiciones
4. Sistema de Gestión de la Seguridad de la Información
5. Responsabilidad de la Dirección
6. Revisión del SGSI por la Dirección
7. Mejora del SGSI.
Anexo A Objetivos de Control y Controles.
Anexo B Guía para el uso de la Norma.
Anexo C Correspondencia entre ISO9001 - ISO14001 – BS7799-2.
Norma ISO/IEC 27001
87. 4. Sistema de Gestión de la Seguridad de la Información
EL MODELO PDCA – PHVA aplicado al SGSI
1. Plan (planificar): establecer el SGSI.
2. Do (hacer): implementar y utilizar el SGSI.
3. Check (verificar): monitorizar y revisar el SGSI.
4. Act (actuar): mantener y mejorar el SGSI.
RC Resumen de Controles - DA Declaración de Aplicabilidad
Requisitos
de Seguridad
de la Información
Resultados de la
Seguridad
de la Información
88. 4.1. REQUISITOS GENERALES
La organización debe:
Desarrollar, implementar, mantener y mejorar un Sistema de
Gestión de la Seguridad de la Información (SGSI)
documentado dentro del contexto de los riesgos del negocio.
95. EJEMPLO DE POLITICA DE SEGURIDAD (1)
Numeral de la
NTC-ISO/IEC
17799
A.3.1 Política de seguridad de la información , 3.1
Objetivo de control: brindar orientación y apoyo de la dirección para la seguridad de la
información.
.Contro/es
A.3.1.1 Documento de la política de La Dirección debe aprobar, publicar y 3.1.1
seguridad de la información. comunicar a todos los empleados, en la
forma adecuada, un documento de política
de sequridad de la información.
A.3.1.2 Revisión y evaluación. Se debe revisar regularmente la política, y 3.1.2
en caso de cambios que tengan influencia,
se debe asegurar que ésta sigue siendo
apropiada.
A.3 POLÍTICA DE SEGURIDAD